توفر قاعدة الخصوصية لقانون نقل التأمين الصحي والمسؤولية (HIPAA) الحماية الفيدرالية للمعلومات الصحية الشخصية (PHI) التي تحتفظ بها الكيانات المشمولة وتمنح المرضى مجموعة من الحقوق فيما يتعلق بهذه المعلومات.
تُلزم لوائح قانون نقل التأمين الصحي والمساءلة (HIPAA) الكيانات المشمولة وشركاءها في الأعمال، شركة Esri في هذه الحالة، عندما تقدم خدمات، بما في ذلك الخدمات السحابية للكيانات المشمولة، بإبرام عقود للتأكد من أن شركاء الأعمال هؤلاء سوف يحمون المعلومات الصحية الشخصية بشكل كافٍ. توضح هذه العقود، أو اتفاقية شراكة الأعمال (BAA)، وتقيد كيفية تعامل شريك العمل مع المعلومات الصحية الشخصية، وتحدد التزام كل طرف بأحكام الأمان والخصوصية المنصوص عليها في قانون HIPAA وقانون HITECH.
حاليًا، لا توجد شهادة رسمية تفيد بالامتثال لقانون HIPAA أو قانون تكنولوجيا المعلومات الصحية للصحة الاقتصادية والسريرية (HITECH)، بدلاً من ذلك، تُعد خدمات Esri أدناه مخولة من وكالة FedRAMP Moderate Agency وتستخدم عناصر التحكم في الأمان NIST 800-53 والتي تتوافق مع معايير قاعدة أمان HIPAA."
خدمات Esri ضمن النطاق
خدمات ArcGIS Online المتعلقة بقانون HIPAA
خدمة ArcGIS Online الأوَّلية التابعة لـ Esri والمؤهلة بموجب قانون HIPAA هي على وجه التحديد خدمة التكويد الجغرافي الخاصة بها، والمتوفرة على geocode.arcgis.com. ستدرج Esri الخدمات الإضافية المؤهلة بموجب قانون HIPAA هنا حيث يتم التحقق من صحتها للتوافق، بناءً على طلب العميل. تشمل القيود والمتطلبات الحالية المرتبطة بخدمة التكويد الجغرافي المؤهلة بموجب قانون HIPAA كفاءة دعم المواطنين في الولايات المتحدة فقط، والتكويد الجغرافي للعناوين الموجودة في الولايات المتحدة فقط، ومكالمات واجهة برمجة التطبيقات بدون مفتاح (يتم قبول تسجيلات الدخول إلى التطبيق أو حسابات المستخدمين فقط). لا تستطيع Esri تعديل اتفاقية شراكة الأعمال لمتطلبات العميل الفريدة التابعة لقانون HIPAA في ArcGIS Online نظرًا إلى كونها عرض برنامج كخدمة (SaaS) متعدد المستأجرين متوافقًا مع جميع العملاء.
EMCS Advanced Plus
خدمات Esri Managed Cloud Services (EMCS) Advanced Plus هي عرض ArcGIS Enterprise لمستأجر واحد عبر خدمات Esri Professional. تتيح خدمات EMCS Advanced Plus إمكانية التفاوض مع شروط اتفاقية BAA الخاصة بإحدى المؤسسات، ولكنها تستخدم أيضًا اتفاقية BAA التابعة لقانون HIPAA في Esri بشكل افتراضي.
الأسئلة الأكثر شيوعًا بشأن قانون HIPAA في ArcGIS
فيما يلي الأسئلة المتداولة حول ArcGIS و HIPAA:
هل يمكن لمؤسسة ما إبرام اتفاقية شراكة أعمال (BAA) مع Esri ضمن قانون HIPAA مقابل اشتراك ArcGIS Online محدد؟
نعم. تقدم Esri للشركات المؤهلة أو مورديها اتفاقية BAA تغطي خدمات ArcGIS Online و/أو EMCS Advanced Plus المؤهلة بموجب قانون HIPAA والصيانة المرتبطة بها. يمكن لمدير حسابك طلب اتفاقية شراكة أعمال مع Esri. سينطبق هذا على معظم مؤسسات الصحة العامة والمستشفيات وشركات التأمين الصحي؛ ومع ذلك ، فإن الوكالات الفيدرالية الأمريكية ومؤسسات الدفاع الأمريكية غير مؤهلة لإبرام اتفاقيات شراكة أعمال مع Esri حتى يحصل ArcGIS Online على تخويل FedRAMP Moderate، والموجود في خريطة الطريق لعام 2022.
ما الخدمات التي يمكنني استخدامها في مؤسسة ArcGIS Online الخاصة بي إذا كان لدي اتفاقية شراكة أعمال مع Esri؟
يمكنك استخدام أي خدمة من خدمات ArcGIS Online تم تحديدها كجزء من حساب HIPAA مؤسسي، ولكن يجب أن تعالج فقط المعلومات الصحية المحمية (PHI) وتخزنها وتنقلها في الخدمات المؤهلة بموجب قانون HIPAA والمحددة في اتفاقية BAA.
هل ستوافق Esri على استخدام اتفاقية شراكة الأعمال الخاصة بمؤسستي بدلاً من ذلك؟
بالنسبة لـ ArcGIS Online، لا، لا تستطيع Esri تعديل اتفاقية BAA ضمن قانون HIPAA، نظرًا إلى كون ArcGIS Online عرض برنامج كخدمة (SaaS) متعدد المستأجرين متوافقًا مع جميع العملاء. يجب أن تتبع Esri نفس الإجراءات مع الجميع. لتقليل المشكلات إلى الحد الأدنى، قامت Esri بالفعل بمراجعة ودمج مدخلات من اتفاقيات شراكة الأعمال للعملاء والزملاء من موفري SaaS من الحجم المتوسط إلى الكبير.
تتيح خدمات EMCS Advanced Plus إمكانية التفاوض مع شروط اتفاقية BAA الخاصة بإحدى المؤسسات، ولكنها تستخدم أيضًا اتفاقية BAA التابعة لقانون HIPAA في Esri بشكل افتراضي.
إذا كان يجب على العميل استخدام اتفاقية BAA الخاصة به، أو احتاج إلى تخصيص كبير لاتفاقية BAA مع Esri، فمن المستحسن أن يتصل العميل بفريق الخدمات الاحترافية للنظر في احتياجاته المتخصصة خارج ArcGIS Online، مثل النشر المحلي لـ EMCS Advanced Plus أو ArcGIS Enterprise.
هل وجود اتفاقية شراكة أعمال مع Esri يشير إلى أن المؤسسة متوافقة مع قانون HIPAA وقانون HITECH؟
لا، ليست الاتفاقية وحدها. ينطوي الامتثال لقانون HIPAA على العديد من المسؤوليات للكيان المشمول - المؤسسة الصحية التي تتعامل مع البيانات الحساسة. من خلال تقديم اتفاقية شراكة الأعمال، تساعد Esri في دعم امتثالك لقانون HIPAA، لكن استخدام خدمات Esri لا يحقق وحده هذا الامتثال. يتحمل العملاء مسؤولية التأكد من أن لديهم برنامج امتثال ملائم وعمليات داخلية مطبقة، وأن استخدامهم الخاص لخدمات Esri يتوافق مع قانون HIPAA وقانون HITECH. الأمر أكثر من مجرد برامج وخدمات؛ إنها عملية شاملة لمنع انتهاك الخصوصية.
كيف يمكن للمؤسسة تقييم مخاطر تكوينها لـ ArcGIS Online؟
أولاً، يمكن للعملاء الحصول على تقرير تقييم الجهة الخارجية السنوي لبرنامج FedRAMP الخاص بـ Esri بموجب اتفاقية عدم الإفصاح (NDA) أو من خلال الوصول إلى حزم تخويل برنامج FedRAMP المتاحة على connect.gov. ثانيًا، يمكن للعملاء تنفيذ اختبار الأمان بموجب شروط اتفاقية تقييم أمان (SAA) مع Esri لإجراء التحقق الفني من صحة عرضها. أخيرًا، أنشأت Esri أداة ArcGIS Security Advisor التي يمكن لمسؤول المؤسسة استخدامها للوصول إلى ملخص باللون الأحمر والأصفر والأخضر في أي وقت.
ما هو الدعم أو الصيانة المتاحان من خلال اتفاقية شراكة الأعمال مع Esri عبر الإنترنت؟
كمتطلب تنظيمي في الولايات المتحدة للمعلومات الصحية الإلكترونية الخاصة (ePHI)، سيستخدم العملاء الذين يوقعون اتفاقية شراكة الأعمال في البداية دعم Esri المخصص للأفراد فقط في الولايات المتحدة. يمكن توسيع هذا النوع من الدعم إلى الدعم العالمي القياسي في المستقبل حسب الطلب. في ظل الظروف العادية، لا تعرض كل من العمليات وموارد دعم العملاء مجموعات بيانات عملاء ArcGIS Online. إذا قرر أحد العملاء أنه بحاجة إلى مساعدة دعم Esri للوصول إلى مجموعة بيانات مرتبطة باشتراك ArcGIS Online يخضع لاتفاقية شراكة أعمال أو تنزيلها أو عرضها، فستتصل Esri بمورد خصوصية العميل المحدد مسبقًا للحصول على تخويل بالوصول.
ماذا لو كانت الخدمات التي أريدها غير مؤهلة حاليًا لقانون HIPAA؟
ستستمر Esri في إضافة الخدمات المؤهلة بموجب قانون HIPAA، وسيتم تحديث هذه الصفحة مع زيادة قائمة الخدمات المؤهلة لقانون HIPAA. من المستحسن للعملاء الذين لديهم احتياجات خدمة فورية غير مؤهلة لقانون HIPAA استخدام عرض ArcGIS Enterprise لتكملة احتياجات الخدمة عبر الإنترنت.
موارد
- إدارة معلومات الرعاية الصحية بنظم GIS (عام)
- تحقق من صحة أفضل الممارسات باستخدام أداة مستشار الأمان (أداة مركز الثقة العامة)
- ملخص لقاعدة الخصوصية بقانون HIPAA (عام)